24.10.2017 началась массовая вирусная атака, к которой, увы, применим термин очередная, - шифровальщик BadRabbit заблокировал работу многих пользователей в России, Украине, Турции, Японии, Болгарии и Германии. По имеющимся данным нарушен ряд сервисов в киевском метрополитене и ряде других организаций. Несмотря на аналогии с предыдущими атаками WannaCry и NotPetya, для распространения BadRabbit не использует уязвимость EternalBlue из арсенала спецслужб. Вместо этого злоумышленники взломали несколько популярных сайтов, с которых под видом обновления Adobe Flash Player доставляется вредоносный код. Далее следует повышение привилегий, распространение по сети на соседние хосты с подбором паролей и, собственно, шифрование данных с требованием выкупа на биткоин-кошелёк. Антивирусные вендоры достаточно оперативно добавили сигнатуры нового зловреда в свои базы, некоторые заявляют и о детектировании сразу в момент появления эвристическими методами.
Что следует сделать сейчас, чтобы не пополнить число жертв атаки BadRabbit?
- Обновите используемый антивирус;
- Заблокируйте исполнение файла c:\windows\infpub.dat, c:\windows\cscc.dat;
- Запретите (если это возможно) использование сервиса WMI;
- Поменяйте пароли на сложные (9 и более символов, с использованием цифр, спецсимволов и сменой регистров);
- Включите блокировку всплывающих окон на хостах пользователей;
- Для проверки защищённости от данных атак рекомендуем проведение бесплатного хелсчека от Softline (предложение действует в случае заключения договора на техническую поддержку систем кибербезопасности).
